Aspirateurs de contacts professionnels : les critères du profilage au sens du RGDP

Commenter / Collecte de données / Auteur :
Notez ce point juridique

Toutes les collectes ou analyses en ligne de données à caractère personnel relatives à des personnes dans l’Union ne sont pas automatiquement considérées comme un « suivi » ou un « profilage » au sens du RGDP. Pour qualifier des opérations de profilage, il est nécessaire de tenir compte i) de la finalité du traitement des données par le responsable du traitement et, en particulier, de toute analyse comportementale ou technique de profilage ultérieure impliquant ces données ; ii) de l’existence du offre commerciale aux personnes concernées et iii) du lieu d’établissement du responsable du traitement.

CNIL c/ Lusha

La société Lusha qui assure la commercialisation de l’extension Chrome permettant à ses utilisateurs d’obtenir les coordonnées professionnelles (numéro de téléphone et adresse électronique) de personnes dont ils visitent le profil sur le réseau social LinkedIn ou sur la plateforme de relation clients Salesforce.com.

Entre 2016 et août 2022, les données constituant la base de données de contacts de la société étaient collectées grâce aux trois applications mobiles de gestions de contacts « Simpler », « Mailbook » et « Cleaner Pro », développées par des filiales de la société, qui aspiraient les carnets d’adresses numériques de leurs utilisateurs pour les transférer à la société Lusha.

Plus concrètement, à l’ouverture initiale des applications une fenêtre surgissante apparaissait pour informer les utilisateurs qu’en créant leur compte ils s’apprêtaient à partager leurs contacts avec la « communauté des applications pour aider à la vérification d’identité ».

En l’espèce, dès lors que la société Lusha ne dispose d’aucun établissement dans l’Union européenne et que l’extension Lusha n’est pas liée à une offre de biens ou de services aux « personnes concernées » par la collecte,  la CNIL a considéré que ni le critère de l’établissement prévu au paragraphe 1 de l’article 3 du RGPD, ni celui relatif à l’offre de services aux personnes concernées dans l’Union prévu au paragraphe 2, a) du même article ne sont applicables.

En ce qui concerne le critère relatif au suivi de comportement des personnes concernées, prévu au paragraphe 2, b) de ce même article 3, la CNIL a retenu que si la société traite effectivement des données à caractère personnel de personnes situées dans l’Union européenne et, en particulier, en France, il n’est pas établi que ces personnes fassent l’objet d’un suivi de comportement par la société. 

En effet, la constitution de la base de données par la société repose uniquement sur le rapprochement entre des données de contacts professionnels (téléphone, adresse électronique) avec l’identité des personnes dont le profil est visité sur LinkedIn afin d’en vérifier la véracité. 

Il ne s’agit donc pas, en l’espèce, d’un traitement qui consiste à analyser ou prédire un comportement, les préférences personnelles ou les déplacements d’une personne, ses intérêts, sa situation économique ou son état de santé. La société n’utilise donc pas de techniques de traitement de données à caractère personnel qui consistent en un profilage d’une personne physique.

Il résulte de ce qui précède que le RGPD n’est pas applicable au traitement en cause. Par conséquent, il n’entre pas dans les pouvoirs de la formation restreinte de la CNIL de prononcer une sanction.

Données personnelles ou données professionnelles ? 

La société opérait alors un filtrage des données transmises pour ne conserver que des données de contacts » professionnelles  » (numéro(s) de téléphone et/ou adresse(s) électronique(s)), en excluant les données de contacts à usage personnel. 

Pour opérer ce filtrage, la société recourait, d’une part, à des informations accessibles au public pour comprendre la structure de l’adresse électronique et/ou du numéro de téléphone d’une société (p. ex. : prenom.nom@societe.com et pour une société française basée à Paris : + 33 1) et, d’autre part, à une liste blanche de noms de contacts professionnels établie par la société CRUNCHBASE comprenant, les contacts de 5 à 7 millions d’entreprises

Seuls les contacts appartenant à cette liste blanche étaient intégrés dans la base de données de la société Lusha.

La circonstance que la base de données en cause servant au fonctionnement de l’extension Lusha soit, en principe, seulement constituée des coordonnées « professionnelles » des personnes demeure sans incidence sur le caractère « personnel » de ces données, selon une jurisprudence bien établie de la Cour de justice de l’Union européenne (voir, notamment, CJUE, 9 novembre 2010, Volker e. a., aff. C-92/09 et C-93/09, pt. 59).

Les opérations d’aspiration des carnets d’adresses des utilisateurs des applications mobiles puis de filtrage de ces données amènent nécessairement la société à traiter également les coordonnées dites « personnelles » des contacts figurant dans les carnets d’adresses aspirés (coordonnées personnelles et autres données telles que les notes de contacts), quand bien même ces données ne seraient par la suite pas versées dans la base de données servant au fonctionnement de l’extension Lusha.

La qualification de profilage écartée 

Selon l’article 4, alinéa 4, du RGPD, le profilage est défini comme « toute forme de traitement automatisé de données à caractère personnel consistant à utiliser ces données à caractère personnel pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de cette personne physique ».

Le considérant 24 du RGPD précise à cet égard que  » Le traitement de données à caractère personnel de personnes concernées qui se trouvent dans l’Union par un responsable du traitement ou un sous-traitant qui n’est pas établi dans l’Union devrait également être soumis au présent règlement lorsque ledit traitement est lié au suivi du comportement de ces personnes dans la mesure où il s’agit de leur comportement au sein de l’Union. 

Afin de déterminer si une activité de traitement peut être considérée comme un suivi du comportement des personnes concernées, il y a lieu d’établir si les personnes physiques sont suivies sur Internet, ce qui comprend l’utilisation ultérieure éventuelle de techniques de traitement des données à caractère personnel qui consistent en un profilage d’une personne physique, afin notamment de prendre des décisions la concernant ou d’analyser ou de prédire ses préférences, ses comportements et ses dispositions d’esprit « .

À titre d’éclairage, dans ses lignes directrices 3/2018 relatives au champ d’application territorial du RGPD dans leur version du 12 novembre 2019, le Comité européen de protection des données (ci-après « le CEPD ») relève que,  » contrairement à la disposition de l’article 3, paragraphe 2, point a), ni l’article 3, paragraphe 2, point b), ni le considérant 24 n’introduisent expressément un degré nécessaire d’« intention de cibler » de la part du responsable du traitement ou du sous-traitant pour déterminer si l’activité de surveillance déclencherait l’application du RGPD aux activités de traitement. 

Toutefois, l’utilisation du mot « suivi » implique que le responsable du traitement poursuit un objectif spécifique en vue de la collecte et de la réutilisation ultérieure des données pertinentes relatives au comportement d’une personne au sein de l’Union. Le comité n’estime pas que la collecte ou l’analyse en ligne de données à caractère personnel relatives à des personnes dans l’Union serait automatiquement considérée comme un « suivi ». 

Le critère clef du profilage : la finalité du traitement 

Pour retenir le profilage, il est nécessaire de tenir compte de la finalité du traitement des données par le responsable du traitement et, en particulier, de toute analyse comportementale ou technique de profilage ultérieure impliquant ces données. 

Le comité tient compte du libellé du considérant 24, qui indique que pour déterminer si le traitement implique le suivi du comportement d’une personne concernée, le suivi des personnes physiques sur Internet, y compris l’utilisation ultérieure potentielle de techniques de profilage, constitue un facteur important.

Délibération de la formation restreinte n°SAN-2022-024 du 20 décembre 2022 concernant la société LUSHA SYSTEMS INC.

La Commission nationale de l’informatique et des libertés, réunie en sa formation restreinte composée de Monsieur Alexandre LINDEN, président, Madame Christine MAUGÜÉ et Messieurs Bertrand du MARAIS et Alain DRU, membres ;

Vu le règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des données à caractère personnel et à la libre circulation de ces données ;

Vu la loi no 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés, notamment ses articles 20 et suivants ;

Vu le décret no 2019-536 du 29 mai 2019 pris pour l’application de la loi no 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés ;

Vu la délibération no 2013-175 du 4 juillet 2013 portant adoption du règlement intérieur de la Commission nationale de l’informatique et des libertés ;

Vu la décision n°2018-020C du 24 janvier 2018 de la présidente de la Commission nationale de l’informatique et des libertés de charger le secrétaire général de procéder ou de faire procéder à une mission de vérification de tout traitement relatif au domaine « lusha.co » et/ou à l’extension pour navigateurs Chrome et Chromium dénommée « Lusha » ;

Vu les décisions n° 2019-228C, 2019-231C et 2019-232C du 17 décembre 2019 de la présidente de la Commission nationale de l’informatique et des libertés de charger le secrétaire général de procéder ou de faire procéder à une mission de vérification de tout traitement accessible à partir des applications « Simpler », « Mailbook » et « Cleaner Pro » ;

Vu le rapport de Monsieur François PELLEGRINI, commissaire rapporteur, notifié à la société LUSHA SYSTEMS INC. le 15 juin 2022 ;

Vu les observations écrites versées par le conseil de la société LUSHA SYSTEMS INC. le 30 août 2022 ;

Vu la réponse du rapporteur à ces observations notifiée à la société LUSHA SYSTEMS INC. le 30 septembre 2022 ;

Vu les nouvelles observations écrites versées par le conseil de la société LUSHA SYSTEMS INC., reçues le 7 novembre 2022 ;

Vu les observations orales formulées lors de la séance de la formation restreinte du 24 novembre 2022 ;

Vu les autres pièces du dossier ;

Étaient présents, lors de la séance de la formation restreinte :

— Monsieur François PELLEGRINI, commissaire, entendu en son rapport ;

En qualité de représentants de la société LUSHA SYSTEMS INC. :

— […] ;

La société LUSHA SYSTEMS INC. ayant eu la parole en dernier ;

La formation restreinte a adopté la décision suivante :

I. Faits et procédure

1. Créée en avril 2016 et ayant son siège social 800 Boylston Street, Suite 1410 à Boston (Etats-Unis), la société LUSHA SYSTEMS INC. (ci-après « la société ») est une filiale à 100% de la société YT DEV LTD, située en Israël. Elle ne dispose pas d’établissement sur le territoire de l’Union européenne. En 2021, la société a réalisé un chiffre d’affaires de […] dollars.

2. La société assure la commercialisation d’une extension (ci-après  » l’extension Lusha « ), disponible à partir du site » lusha.co « , fonctionnant sur les navigateurs Chrome et Chromium et permettant à ses utilisateurs d’obtenir les coordonnées professionnelles (numéro de téléphone et adresse électronique) de personnes dont ils visitent le profil sur le réseau social LinkedIn ou sur la plateforme de relation clients Salesforce.com (ci-après « Salesforce »).

3. La société édite également, via les sociétés SIMPLER APPS INC., LOBSTER APPS INC. et TOP FLOOR INC qu’elle détient en totalité, les applications pour ordiphones appelées « Simpler », « Mailbook » et « Cleaner Pro », qui étaient disponibles depuis le territoire français sur les systèmes Android et iOS jusqu’en août 2022 et qui se présentaient comme offrant un service à l’utilisateur de « gestion des contacts ».

4. Les 24 janvier et 1er février 2018, faisant suite à un signalement reçu en janvier 2018, une délégation de la CNIL a effectué un contrôle en ligne sur le site web « lusha.co » en vertu de la décision n° 2018-020C du 24 janvier 2018 de la présidente de la Commission nationale de l’informatique et des libertés (ci-après « la CNIL » ou « la Commission »).

5. Cette mission avait pour objet de vérifier le respect, par la société, des dispositions de la loi n° 78-17 du 6 janvier 1978 modifiée relative à l’informatique, aux fichiers et aux libertés (ci-après « la loi Informatique et Libertés » « ou » loi du 6 janvier 1978 « ), en lien avec les traitements relatifs au domaine » lusha.co  » et/ou à l’extension pour navigateurs Chrome et Chromium dénommée « Lusha ».

6. Le 6 mars 2019, la délégation de contrôle a opéré un nouveau contrôle en ligne pour vérifier la conformité des traitements relatifs au domaine « lusha.co » et à l’extension Lusha, en particulier aux fins de vérifier l’instruction de deux plaintes reçues par les services de la CNIL respectivement le 22 octobre 2018 et le 14 février 2019.

7. Des représentants de la société ont été auditionnés dans les locaux de la Commission le 18 juillet 2019.

8. Les 19 et 20 décembre 2019, en vertu des décisions n° 2019-228C, 2019-231C et 2019-232C du 17 décembre 2019 de la présidente de la CNIL, les services de la Commission ont effectué, à partir d’un terminal mobile, trois contrôles en ligne sur les applications « Simpler », « Mailbook » et « Cleaner Pro ».

9. Ces contrôles avaient pour objet de vérifier la conformité des traitements accessibles à partir de ces applications mobiles, ou portant sur des données à caractère personnel collectées à partir de ces dernières auprès de tout organisme concerné par leur mise en œuvre, aux dispositions du règlement (UE) 2016/679 du Parlement européen et du Conseil relatif à la protection des données à caractère personnel (ci-après « le RGPD » ou « le Règlement ») et de la loi Informatique et Libertés.

10. Par des courriers électroniques envoyés entre juillet 2019 et mai 2020, la société a fait parvenir à la CNIL plusieurs documents et éléments de réponse sollicités par les services de la Commission dans le cadre des investigations.

11. Le 29 mars 2021, sur le fondement de l’article 22 de la loi du 6 janvier 1978, la présidente de la Commission a désigné Monsieur François PELLEGRINI en qualité de rapporteur aux fins d’instruction de ces éléments.

12. Le 15 juin 2022, à l’issue de son instruction, le rapporteur a fait notifier à la société un rapport détaillant les manquements au RGPD qu’il estimait constitués en l’espèce. Le courrier de notification du rapport indiquait à la société qu’elle disposait d’un délai d’un mois pour communiquer ses observations écrites au titre des dispositions de l’article 40 du décret n° 2019-536 du 29 mai 2019 modifié, pris pour l’application de la loi Informatique et Libertés (ci-après « le décret du 29 mai 2019 »).

13. Ce rapport proposait à la formation restreinte de prononcer une amende administrative à l’encontre de la société, ainsi qu’une injonction de mettre en conformité le traitement avec les articles 6 et 15 du RGPD à titre principal et les articles 14 à 15 à titre subsidiaire, assortie d’une astreinte à l’issue d’un délai de trois mois suivant la notification de la délibération. Il proposait également que cette décision soit rendue publique et ne permette plus d’identifier nommément la société à l’expiration d’un délai de deux ans à compter de sa publication.

14. Par courrier du 22 juin 2022, la société a sollicité un délai complémentaire auprès du président de la formation restreinte pour produire ses observations en réponse au rapport du rapporteur, qui lui a été accordé le 24 juin suivant, sur le fondement de l’article 40, alinéa 4, du décret du 29 mai 2019.

15. Le 30 août 2022, la société a produit des observations en réponse.

16. Le 30 septembre 2022, le rapporteur a répondu aux observations de la société.

17. Le 7 novembre 2022, la société a présenté de nouvelles observations en réponse à celles du rapporteur.

18. Par courrier du 8 novembre 2022, le rapporteur a informé le conseil de la société que l’instruction était close, en application de l’article 40, III, du décret modifié n° 2019-536 du 29 mai 2019.

19. Par courrier du même jour, la société a été informée de l’inscription du dossier à l’ordre du jour de la formation restreinte du 24 novembre 2022.

20. Le rapporteur et la société ont présenté des observations orales lors de la séance de la formation restreinte.

II. Motifs de la décision

A. Sur le traitement en cause et la qualité de la société Lusha vis-à-vis de ce traitement

1. Sur le traitement de données à caractère personnel en cause : l’extension Lusha

21. En vertu de l’article 4, alinéa 2), du RGPD, constitue un traitement de données à caractère personnel « toute opération ou tout ensemble d’opérations effectuées ou non à l’aide de procédés automatisés et appliquées à des données ou des ensembles de données à caractère personnel, telles que la collecte, l’enregistrement, l’organisation, la structuration, la conservation, l’adaptation ou la modification, l’extraction, la consultation, l’utilisation, la communication par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l’interconnexion, la limitation, l’effacement ou la destruction ».

22. En l’espèce, la formation restreinte relève qu’une fois installée sur un navigateur Chrome ou Chromium et après création d’un compte « Lusha », l’extension commercialisée par la société permet à un utilisateur naviguant sur le réseau social LinkedIn ou sur la plateforme Salesforce.com d’obtenir des informations sur une personne dont le profil est visité par l’utilisateur (ci-après « la personne cible »), à savoir les coordonnées professionnelles de cette personne (numéro(s) de téléphone et/ou adresse(s) électronique(s)), lesquelles s’afficheront dans une fenêtre flottante sur la page visitée.

23. Lorsque l’utilisateur consulte le profil LinkedIn ou la page Salesforce de la personne cible, l’extension comparera le nom de la personne cible avec les noms éventuellement identiques stockés dans la base de données de la société. Dans l’éventualité où au moins un résultat est retourné, l’extension vérifiera que l’entreprise renseignée comme étant l’employeur de la personne cible sur le profil LinkedIn ou Salesforce visité correspond bien à celle qui est recensée dans sa base de données. Si les critères précédents renvoient un résultat et que le numéro de téléphone et / ou l’adresse électronique associés à la personne cible apparaissent dans les carnets d’adresses numériques d’au moins deux personnes distinctes enregistrées dans la base de la société, le numéro et / ou l’adresse électronique associés seront affichés dans la fenêtre flottante de l’utilisateur visitant la page de la personne cible.

24. Les représentants de la société ont précisé lors de l’audition du 18 juillet 2019 que l’extension fonctionne en version gratuite, avec un crédit de cinq contacts, et en version payante, avec un nombre de contacts dépendant de la quantité de crédits souscrits.

25. Entre 2016 et août 2022, les données constituant la base de données de contacts de la société étaient collectées grâce aux trois applications mobiles de gestions de contacts « Simpler », « Mailbook » et « Cleaner Pro », développées par des filiales de la société, qui aspiraient les carnets d’adresses numériques de leurs utilisateurs pour les transférer à la société Lusha.

26. Plus concrètement, à l’ouverture initiale des applications une fenêtre surgissante apparaissait pour informer les utilisateurs qu’en créant leur compte ils s’apprêtaient à partager leurs contacts avec la  » communauté des applications pour aider à la vérification d’identité « . La société opérait alors un filtrage des données transmises pour ne conserver que des données de contacts » professionnelles  » (numéro(s) de téléphone et/ou adresse(s) électronique(s)), en excluant les données de contacts à usage personnel. Pour opérer ce filtrage, la société recourait, d’une part, à des informations accessibles au public pour comprendre la structure de l’adresse électronique et/ou du numéro de téléphone d’une société (p. ex. : prenom.nom@societe.com et pour une société française basée à Paris : + 33 1) et, d’autre part, à une liste blanche de noms de contacts professionnels établie par la société CRUNCHBASE comprenant, à la date des contrôles, les contacts de 5 à 7 millions d’entreprises. Seuls les contacts appartenant à cette liste blanche étaient intégrés dans la base de données de la société Lusha.

27. Les applications précitées ayant été retirées du marché français en août 2022, le fonctionnement de l’extension faisait donc intervenir auparavant trois catégories distinctes de personnes :

— d’abord, les utilisateurs des applications mobiles, soit les personnes dont les carnets d’adresses contenant les données de contacts des personnes concernées étaient aspirés par les applications mobiles puis transmises dans la base de données Lusha ;

— ensuite, les personnes concernées, dites également personnes cibles, soit les personnes dont les données de contacts sont présentes dans la base de données Lusha et qui font l’objet du traitement en cause ;

— enfin, les utilisateurs de l’extension Lusha, c’est-à-dire les clients de la société, utilisant l’extension en version gratuite ou payante, qui visitent les profils LinkedIn ou Salesforce des personnes cibles afin, notamment, d’obtenir leurs coordonnées professionnelles pour les démarcher.

28. Ainsi, les personnes concernées (au sens où ce terme sera utilisé ci-après), dont les données sont consultées par les clients de Lusha, ne sont ni utilisatrices de l’extension Lusha, ni utilisatrices des applications développées par les filiales de la société, leur présence dans la base de données Lusha s’expliquant uniquement par le fait que leurs coordonnées figuraient dans le carnet d’adresses d’un ou de plusieurs de leurs contacts (ami, famille, collègue, etc.) ayant téléchargé les applications « Simpler », « Mailbook » ou « Cleaner Pro ».

29. La formation restreinte relève que la circonstance que la base de données en cause servant au fonctionnement de l’extension Lusha soit, en principe, seulement constituée des coordonnées « professionnelles » des personnes demeure sans incidence sur le caractère « personnel » de ces données, selon une jurisprudence bien établie de la Cour de justice de l’Union européenne (voir, notamment, CJUE, 9 novembre 2010, Volker e. a., aff. C-92/09 et C-93/09, pt. 59).

30. Elle relève, au demeurant, qu’il ressort de ce qui précède que les opérations d’aspiration des carnets d’adresses des utilisateurs des applications mobiles puis de filtrage de ces données amènent nécessairement la société à traiter également les coordonnées dites « personnelles » des contacts figurant dans les carnets d’adresses aspirés (coordonnées personnelles et autres données telles que les notes de contacts), quand bien même ces données ne seraient par la suite pas versées dans la base de données servant au fonctionnement de l’extension Lusha.

31. La société indique que l’extension a pour finalité de lutter contre la fraude en ligne en permettant à ses utilisateurs de s’assurer que la personne cible dont ils visitent le profil  » est bien la personne qu’elle prétend être ou travaille bien pour la société à laquelle elle prétend appartenir  » (audition du 18 juillet 2019).

32. La formation restreinte note également qu’il a été constaté sur le site web de la société, lors du contrôle en ligne du 6 mars 2019, que la société présente son service comme permettant à ses utilisateurs de  » remplir le défi de permettre un véritable contact avec vos clients, en connaissant [leurs] bons numéros de téléphone, adresse courriel et données de société. Accéder aux données dont vous avez besoin pour contacter vos prospects via les réseaux sociaux, le web, Saleforces ou l’API  » et cite le témoignage d’un de ses utilisateurs, selon lequel il s’agirait de  » la meilleure application pour trouver des numéros de téléphones et des informations relatives à des individus, rapide et facile d’usage  » (traduction libre).

33. Il résulte de ce qui précède que l’ensemble des différentes opérations de traitement évoquées ci-avant, toutes indispensables au fonctionnement de l’extension Lusha, et qui consistent, notamment, en la collecte, la conservation, la structuration, le croisement et la diffusion de données à caractère personnel, notamment des données de contacts « brutes » des utilisateurs des applications « Simpler », « Mailbook » et « Cleaner Pro » et des données issues de la liste blanche CRUNCHBASE, participent à un seul et même traitement de données à caractère personnel poursuivant les finalités de lutte contre la fraude en ligne et de mise à disposition de coordonnées de prospects (ci-après « le traitement en cause »).

2. Sur la qualité de la société Lusha

34. Au titre de l’article 4, alinéa 7), du RGPD, est responsable de traitement « la personne physique ou morale, l’autorité publique, le service ou un autre organisme qui, seul ou conjointement avec d’autres, détermine les finalités et les moyens du traitement ».

35. En l’espèce, la société a déclaré à la CNIL être  » responsable des traitements résultant de l’utilisation de [l’extension Lusha]  » et que les sociétés SIMPLER APPS INC., LOBSTER APPS INC. et TOP FLOOR INC. étaient responsables de traitement des applications mobiles qu’elles développent (à savoir les applications « Simpler », « Mailbook » et « Cleaner Pro »).

36. Indépendamment de cette répartition, la formation restreinte considère que la société doit être considérée comme responsable de l’ensemble des opérations de traitement nécessaires au fonctionnement de son extension.

37. Ainsi, la responsabilité de la société s’étend également à l’égard des opérations de collecte des données de contacts des personnes figurant dans les carnets d’adresses des utilisateurs des applications mobiles et de transmission de ces données vers la base Lusha, dès lors que ces deux opérations étaient, à la date des contrôles, indispensables à l’alimentation de la base de données de contacts sans laquelle l’extension Lusha ne pouvait pas fonctionner.

38. Si, dans les faits, ces deux opérations de traitement étaient menées au sein des applications mobiles développées par les filiales de la société, la formation restreinte souligne que la société en était nécessairement à l’origine via le pouvoir décisionnel qu’elle exerce sur ces trois sociétés qu’elle détient à 100 % et qui ne disposent d’aucun employé. Dès lors, et sans qu’il soit besoin de déterminer si les filiales ont la qualité de seules responsables de traitement pour l’opération d’aspiration des données tandis que la société Lusha serait seule responsable pour l’opération de transmission des données vers sa base, de coresponsables de traitement avec la société Lusha pour les deux opérations, ou de sous-traitantes de la société Lusha pour ces deux opérations, la formation restreinte estime que la société mère détermine, au moins en partie, les finalités et les moyens de ces opérations de traitement et est donc responsable de traitement.

39. Il résulte de ce qui précède que la société est responsable du traitement en cause.

B. Sur l’applicabilité du RGPD

40. Le rapporteur soutient que la CNIL était compétente au titre de la loi Informatique et Libertés, puis au titre du RGPD, pour engager une procédure de contrôle puis une procédure de sanction à l’encontre de la société. Plus particulièrement, il considère que le RGPD est applicable au traitement en cause au titre de son article 3, paragraphe 2, b), dès lors que le traitement concerne des données à caractère personnel relatives à des personnes concernées sur le territoire de l’Union européenne et qu’il est lié au suivi du comportement de ces personnes.

41. La société considère que la CNIL est incompétente depuis l’engagement de la procédure de contrôle. Elle estime notamment que le RGPD ne lui est pas applicable dans la mesure où elle ne traiterait pas de données à caractère personnel liées au « comportement » des personnes concernées et ne mettrait pas en œuvre d’activités de « suivi », ni de « profilage » et joint à ce soutien les conclusions d’un rapport d’expertise diligenté à son initiative. Elle ajoute que l’inapplicabilité du RGPD à ses activités aurait été confirmée par la Commission nationale pour la protection des données, l’autorité luxembourgeoise de protection des données (ci-après « la CNPD »), qui se serait prononcée sur le sujet dans un courrier électronique en date du 9 juin 2022.

42. L’article 3 du RGPD, relatif au champ d’application territorial, prévoit que ce texte s’applique :  » 1. […] au traitement des données à caractère personnel effectué dans le cadre des activités d’un établissement d’un responsable du traitement ou d’un sous-traitant sur le territoire de l’Union, que le traitement ait lieu ou non dans l’Union. 2. […] au traitement des données à caractère personnel relatives à des personnes concernées qui se trouvent sur le territoire de l’Union par un responsable du traitement ou un sous-traitant qui n’est pas établi dans l’Union, lorsque les activités de traitement sont liées : a) à l’offre de biens ou de services à ces personnes concernées dans l’Union, qu’un paiement soit exigé ou non desdites personnes ; ou b) au suivi du comportement de ces personnes, dans la mesure où il s’agit d’un comportement qui a lieu au sein de l’Union « .

43. Selon l’article 4, alinéa 4, du RGPD, le profilage est défini comme « toute forme de traitement automatisé de données à caractère personnel consistant à utiliser ces données à caractère personnel pour évaluer certains aspects personnels relatifs à une personne physique, notamment pour analyser ou prédire des éléments concernant le rendement au travail, la situation économique, la santé, les préférences personnelles, les intérêts, la fiabilité, le comportement, la localisation ou les déplacements de cette personne physique ».

44. Le considérant 24 du RGPD précise à cet égard que  » Le traitement de données à caractère personnel de personnes concernées qui se trouvent dans l’Union par un responsable du traitement ou un sous-traitant qui n’est pas établi dans l’Union devrait également être soumis au présent règlement lorsque ledit traitement est lié au suivi du comportement de ces personnes dans la mesure où il s’agit de leur comportement au sein de l’Union. Afin de déterminer si une activité de traitement peut être considérée comme un suivi du comportement des personnes concernées, il y a lieu d’établir si les personnes physiques sont suivies sur Internet, ce qui comprend l’utilisation ultérieure éventuelle de techniques de traitement des données à caractère personnel qui consistent en un profilage d’une personne physique, afin notamment de prendre des décisions la concernant ou d’analyser ou de prédire ses préférences, ses comportements et ses dispositions d’esprit « .

45. À titre d’éclairage, dans ses lignes directrices 3/2018 relatives au champ d’application territorial du RGPD dans leur version du 12 novembre 2019, le Comité européen de protection des données (ci-après « le CEPD ») relève que,  » contrairement à la disposition de l’article 3, paragraphe 2, point a), ni l’article 3, paragraphe 2, point b), ni le considérant 24 n’introduisent expressément un degré nécessaire d’« intention de cibler » de la part du responsable du traitement ou du sous-traitant pour déterminer si l’activité de surveillance déclencherait l’application du RGPD aux activités de traitement. Toutefois, l’utilisation du mot « suivi » implique que le responsable du traitement poursuit un objectif spécifique en vue de la collecte et de la réutilisation ultérieure des données pertinentes relatives au comportement d’une personne au sein de l’Union. Le comité n’estime pas que la collecte ou l’analyse en ligne de données à caractère personnel relatives à des personnes dans l’Union serait automatiquement considérée comme un « suivi ». Il sera nécessaire de tenir compte de la finalité du traitement des données par le responsable du traitement et, en particulier, de toute analyse comportementale ou technique de profilage ultérieure impliquant ces données. Le comité tient compte du libellé du considérant 24, qui indique que pour déterminer si le traitement implique le suivi du comportement d’une personne concernée, le suivi des personnes physiques sur Internet, y compris l’utilisation ultérieure potentielle de techniques de profilage, constitue un facteur important « .

46. En l’espèce, dès lors que la société ne dispose d’aucun établissement dans l’Union européenne et que l’extension Lusha n’est pas liée à une offre de biens ou de services aux « personnes concernées » telles que définies au § 28 de la présente décision, la formation restreinte relève que ni le critère de l’établissement prévu au paragraphe 1 de l’article 3 du RGPD, ni celui relatif à l’offre de services aux personnes concernées dans l’Union prévu au paragraphe 2, a) du même article ne sont applicables.

47. En ce qui concerne le critère relatif au suivi de comportement des personnes concernées, prévu au paragraphe 2, b) de ce même article 3 et dont l’applicabilité est invoquée par le rapporteur, la formation restreinte relève que si la société traite effectivement des données à caractère personnel de personnes situées dans l’Union européenne et, en particulier, en France, il n’est pas établi que ces personnes fassent l’objet d’un suivi de comportement par la société. En effet, la formation restreinte relève que la constitution de la base de données par la société repose uniquement sur le rapprochement entre des données de contacts professionnels (téléphone, adresse électronique) avec l’identité des personnes dont le profil est visité sur LinkedIn afin d’en vérifier la véracité. Il ne s’agit donc pas, en l’espèce, d’un traitement qui consiste à analyser ou prédire un comportement, les préférences personnelles ou les déplacements d’une personne, ses intérêts, sa situation économique ou son état de santé. La formation restreinte considère que la société n’utilise pas de techniques de traitement de données à caractère personnel qui consistent en un profilage d’une personne physique.

48. Il résulte de ce qui précède que le RGPD n’est pas applicable au traitement en cause. Par conséquent, il n’entre pas dans les pouvoirs de la formation restreinte de prononcer une sanction.

49. Il apparaît opportun que l’ensemble des utilisateurs des applications en cause soient informés que les traitements mis en œuvre par la société Lusha ne sont pas soumis au RGPD. Il convient en conséquence d’ordonner la publication de la présente délibération.

PAR CES MOTIFS

La formation restreinte de la CNIL, après en avoir délibéré, décide :

• qu’il n’y a pas lieu au prononcé d’une sanction ;

• de rendre publique, sur le site web de la CNIL et sur le site web de Légifrance, sa délibération, qui ne permettra plus d’identifier nommément la société à l’issue d’une durée de deux ans à compter de sa publication.

Le président

Alexandre LINDEN

Cette décision est susceptible de faire l’objet d’un recours devant le Conseil d’État dans un délai de quatre mois à compter de sa notification.
0 0 votes
Évaluation de l'article
S’abonner
Notification pour
guest
0 Commentaires
Le plus ancien
Le plus récent Le plus populaire
Commentaires en ligne
Afficher tous les commentaires
0
Nous aimerions avoir votre avis, veuillez laisser un commentaire.x
Scroll to Top